Cisco Secure Firewall Threat Defense – Các loại Policy quan trọng -

Các loại Policy chính

• Prefilter Policy: chạy trong LINA engine, cho phép “fastpath” một số loại traffic (ví dụ GRE, IP-in-IP) mà không cần qua Snort.

• Security Intelligence: chặn/ignore lưu lượng đã biết là độc hại, dựa trên IP, URL, hoặc domain.

• DNS Policy: giám sát & chặn DNS request tới domain xấu. Có thể trả về Domain Not Found hoặc redirect sang DNS Sinkhole để phát hiện PC bị nhiễm malware.

• Access Control Policy (ACP): “trái tim” của firewall, cho phép viết rule từ Layer 3 đến Layer 7. ACP cũng gắn thêm IPS Policy, File Policy… để có hiệu lực.

• File Policy: kiểm tra file trong payload, theo extension hoặc loại file. Có thể gửi file lên Threat Grid để phân tích malware.

• Intrusion Policy (IPS): phát hiện/tấn công dựa trên rule Snort, đi kèm Network Analysis Policy để preprocess (defrag IP, reassemble TCP, checksum…).

• SSL Policy: giải mã SSL/TLS để ACP, IPS, File Policy nhìn thấy lưu lượng Layer 7. Có thể chọn decrypt, block, hoặc pass-through.

• Network Discovery Policy: phát hiện host, user, ứng dụng trong hệ thống.

• Correlation Policy: tạo cảnh báo/response tự động khi xảy ra sự kiện bất thường.

• Identity Policy: gắn danh tính user (LDAP/AD) vào lưu lượng để dùng trong ACP.

Quan hệ giữa các Policy

• ACP là trung tâm: IPS và File policy phải được gắn vào rule trong ACP.

• Prefilter, SSL, Identity, DNS: gắn global vào ACP.

• Mỗi ACP có rule riêng và default action (allow hoặc block).

Policy Deployment

• ACP và các policy liên quan (DNS, File, Identity, Intrusion, SSL…)

• Rule, object, NAT, VPN, QoS, Network Discovery…

• Cập nhật rule IPS và cấu hình nền tảng

Câu hỏi ôn tập

• Snort engine

• Secure Firewall ASA (LINA) engine

• Firewall engine

• IPS engine